Pemberitahuan akhir dukungan: Pada 20 Mei 2026, AWS akan mengakhiri dukungan untuk AWS IoT Events. Setelah 20 Mei 2026, Anda tidak akan lagi dapat mengakses AWS IoT Events konsol atau AWS IoT Events sumber daya. Untuk informasi selengkapnya, lihat [AWS IoT Events akhir dukungan](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS IoT Events
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku AWS IoT Events, lihat [AWS layanan dalam cakupan berdasarkan program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data, persyaratan perusahaan, serta hukum dan peraturan yang berlaku.
Dokumentasi ini akan membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS IoT Events. Topik berikut menunjukkan cara mengonfigurasi AWS IoT Events untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga akan belajar cara menggunakan AWS layanan lain yang dapat membantu Anda memantau dan mengamankan AWS IoT Events sumber daya Anda.
**Topics**
+ [Identitas dan manajemen akses untuk AWS IoT Events](security-iam.md)
+ [Pemantauan AWS IoT Events untuk menjaga keandalan, ketersediaan, dan kinerja](monitoring_overview.md)
+ [Validasi kepatuhan untuk AWS IoT Events](iotevents-compliance.md)
+ [Ketahanan di AWS IoT Events](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS IoT Events](infrastructure-security.md)
# Identitas dan manajemen akses untuk AWS IoT Events
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS IoT Events IAM adalah AWS layanan yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](security_iam_authentication.md)
+ [Mengelola akses menggunakan kebijakan](security_iam_access-manage.md)
+ [Lebih lanjut tentang identitas dan manajemen akses](#security_iam_learn-more)
+ [Bagaimana AWS IoT Events bekerja dengan IAM](#security_iam_service-with-iam)
+ [AWS IoT Events contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Pencegahan deputi kebingungan lintas layanan untuk AWS IoT Events](cross-service-confused-deputy-prevention.md)
+ [Memecahkan masalah AWS IoT Events identitas dan akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS IoT Events identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS IoT Events bekerja dengan IAM](#security_iam_service-with-iam))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS IoT Events contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
# Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
## Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
## Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
## Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
# Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
## Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
## Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
## Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
## Lebih lanjut tentang identitas dan manajemen akses
Untuk informasi lebih lanjut tentang identitas dan manajemen akses AWS IoT Events, lanjutkan ke halaman berikut:
+ [Bagaimana AWS IoT Events bekerja dengan IAM](#security_iam_service-with-iam)
+ [Memecahkan masalah AWS IoT Events identitas dan akses](security_iam_troubleshoot.md)
## Bagaimana AWS IoT Events bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses AWS IoT Events, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. AWS IoT Events Untuk mendapatkan pandangan tingkat tinggi tentang bagaimana AWS IoT Events dan AWS layanan lain bekerja dengan IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [AWS IoT Events kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)
+ [AWS IoT Events kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag AWS IoT Events](#security_iam_service-with-iam-tags)
+ [AWS IoT Events Peran IAM](#security_iam_service-with-iam-roles)
### AWS IoT Events kebijakan berbasis identitas
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. AWS IoT Events mendukung tindakan tertentu, sumber daya, dan kunci syarat. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
#### Tindakan
Elemen `Action` kebijakan berbasis identitas IAM menjelaskan tindakan atau tindakan tertentu yang akan diizinkan atau ditolak oleh kebijakan tersebut. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Tindakan ini digunakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan AWS IoT Events menggunakan awalan berikut sebelum tindakan:`iotevents:`. Misalnya, untuk memberikan izin kepada seseorang untuk membuat AWS IoT Events input dengan operasi AWS IoT Events `CreateInput` API, Anda menyertakan `iotevents:CreateInput` tindakan tersebut dalam kebijakan mereka. Untuk memberikan izin kepada seseorang untuk mengirim input dengan operasi AWS IoT Events `BatchPutMessage` API, Anda menyertakan `iotevents-data:BatchPutMessage` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu `Action` atau `NotAction` elemen. AWS IoT Events mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"iotevents:action1",
"iotevents:action2"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "iotevents:Describe*"
```
Untuk melihat daftar tindakan, lihat AWS IoT Events [Tindakan yang Ditentukan oleh AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions) dalam *Panduan Pengguna IAM*.
#### Sumber daya
Elemen `Resource` menentukan objek di mana tindakan berlaku. Pernyataan harus mencakup elemen `Resource` atau `NotResource`. Anda menentukan sumber daya menggunakan ARN atau menggunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.
Sumber daya model AWS IoT Events detektor memiliki ARN berikut:
```
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Mengidentifikasi AWS sumber daya dengan Nama Sumber Daya Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Misalnya, untuk menentukan model `Foobar` detektor dalam pernyataan Anda, gunakan ARN berikut:
```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
```
Untuk menentukan semua instans milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
```
Beberapa AWS IoT Events tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Beberapa tindakan AWS IoT Events API melibatkan banyak sumber daya. Misalnya, `CreateDetectorModel` referensi input dalam pernyataan kondisinya, sehingga pengguna harus memiliki izin untuk menggunakan input dan model detektor. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
```
Untuk melihat daftar jenis sumber daya dan jenis AWS IoT Events sumber daya ARNs, lihat [Sumber Daya yang Ditentukan oleh AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-resources-for-iam-policies) dalam *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang Ditentukan oleh AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions).
#### Kunci syarat
Elemen `Condition` (atau *blok* `Condition`) memungkinkan Anda menentukan ketentuan yang mengizinkan Anda untuk menerapkan pernyataan. Elemen `Condition` bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), seperti sama dengan atau kurang dari, untuk mencocokkan ketentuan dalam kebijakan dengan nilai dalam permintaan.
Jika Anda menentukan beberapa elemen `Condition` dalam pernyataan, atau beberapa kunci dalam satu elemen `Condition`, AWS mengevaluasinya menggunakan operasi `AND`. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna mereka. Untuk informasi lebih lanjut, lihat [Elemen kebijakan IAM: Variabel dan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
AWS IoT Events tidak menyediakan kunci kondisi khusus layanan apa pun, tetapi mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
#### Contoh
Untuk melihat contoh kebijakan AWS IoT Events berbasis identitas, lihat. [AWS IoT Events contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
### AWS IoT Events kebijakan berbasis sumber daya
AWS IoT Events tidak mendukung kebijakan berbasis sumber daya.” Untuk melihat contoh halaman detail kebijakan berbasis sumber daya, lihat [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
### Otorisasi berdasarkan tag AWS IoT Events
Anda dapat melampirkan tag ke AWS IoT Events sumber daya atau meneruskan tag dalam permintaan AWS IoT Events. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `iotevents:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang penandaan sumber daya AWS IoT Events , lihat [Menandai sumber daya Anda AWS IoT Events](tagging-iotevents.md).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Lihat AWS IoT Events input berdasarkan tag](security_iam_id-based-policy-examples-view-input-tags.md).
### AWS IoT Events Peran IAM
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.
#### Menggunakan kredensi sementara dengan AWS IoT Events
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) operasi API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
AWS IoT Events tidak mendukung penggunaan kredensil sementara.
#### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
AWS IoT Events tidak mendukung peran terkait layanan.
#### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
AWS IoT Events mendukung peran layanan.
# AWS IoT Events contoh kebijakan berbasis identitas
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi AWS IoT Events sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan pada tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](security_iam_service-with-iam-policy-best-practices.md)
+ [Menggunakan AWS IoT Events konsol](security_iam_id-based-policy-examples-console.md)
+ [Izinkan pengguna untuk melihat izin mereka sendiri di AWS IoT Events](security_iam_id-based-policy-examples-view-own-permissions.md)
+ [Akses satu AWS IoT Events masukan](security_iam_id-based-policy-examples-access-one-input.md)
+ [Lihat AWS IoT Events input berdasarkan tag](security_iam_id-based-policy-examples-view-input-tags.md)
# Praktik terbaik kebijakan
Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Mereka menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS IoT Events sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Memulai Menggunakan Kebijakan AWS Terkelola** — Untuk mulai menggunakan AWS IoT Events dengan cepat, gunakan kebijakan AWS terkelola untuk memberi karyawan Anda izin yang mereka butuhkan. Kebijakan ini sudah tersedia di akun Anda dan dikelola, serta diperbarui oleh AWS. Untuk informasi selengkapnya, lihat [Memulai menggunakan izin dengan kebijakan AWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) di *Panduan Pengguna IAM*.
+ **Berikan hak akses terkecil** – Saat Anda membuat kebijakan khusus, berikan izin yang diperlukan untuk melaksanakan tugas saja. Mulai dengan satu set izin minimum dan berikan izin tambahan sesuai kebutuhan. Melakukan hal tersebut lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Untuk informasi selengkapnya, lihat [Pemberian hak istimewa terendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ **Aktifkan MFA untuk Operasi Sensitif** — Untuk keamanan ekstra, pengguna harus menggunakan otentikasi multi-faktor (MFA) untuk mengakses sumber daya sensitif atau operasi API. Untuk informasi selengkapnya, lihat [Menggunakan autentikasi multifaktor (MFA) dalam AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan Kondisi Kebijakan untuk Keamanan Tambahan** – Selama praktis, tentukan ketentuan di mana kebijakan berbasis identitas Anda memungkinkan akses ke sumber daya. Misalnya, Anda dapat menulis persyaratan untuk menentukan jangkauan alamat IP yang diizinkan untuk mengajukan permintaan. Anda juga dapat menulis persyaratan untuk mengizinkan permintaan hanya dalam rentang tanggal atau waktu tertentu, atau untuk mewajibkan penggunaan SSL atau autentikasi multifaktor (MFA). Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Menggunakan AWS IoT Events konsol
Untuk mengakses AWS IoT Events konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS IoT Events sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan AWS IoT Events konsol, lampirkan juga kebijakan AWS terkelola berikut ke entitas. Untuk informasi selengkapnya, lihat [Menambahkan izin ke pengguna di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) *IAM:*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:BatchPutMessage",
"iotevents:BatchUpdateDetector",
"iotevents:CreateDetectorModel",
"iotevents:CreateInput",
"iotevents:DeleteDetectorModel",
"iotevents:DeleteInput",
"iotevents:DescribeDetector",
"iotevents:DescribeDetectorModel",
"iotevents:DescribeInput",
"iotevents:DescribeLoggingOptions",
"iotevents:ListDetectorModelVersions",
"iotevents:ListDetectorModels",
"iotevents:ListDetectors",
"iotevents:ListInputs",
"iotevents:ListTagsForResource",
"iotevents:PutLoggingOptions",
"iotevents:TagResource",
"iotevents:UntagResource",
"iotevents:UpdateDetectorModel",
"iotevents:UpdateInput",
"iotevents:UpdateInputRouting"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/your-detector-model-name",
"Resource": "arn:aws:iotevents:us-east-1:123456789012:input/your-input-name"
}
]
}
```
------
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
# Izinkan pengguna untuk melihat izin mereka sendiri di AWS IoT Events
Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Memungkinkan pengguna untuk melihat izin IAM mereka sendiri berguna untuk kesadaran keamanan dan kemampuan layanan mandiri. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
# Akses satu AWS IoT Events masukan
Kontrol akses granular ke AWS IoT Events input penting untuk menjaga keamanan di lingkungan multi-pengguna atau multi-tim. Bagian ini menunjukkan cara membuat kebijakan IAM yang memberikan akses ke AWS IoT Events input tertentu sambil membatasi akses ke orang lain.
Dalam contoh ini, Anda dapat memberikan pengguna Akun AWS akses ke salah satu AWS IoT Events input Anda,`exampleInput`. Anda juga dapat mengizinkan pengguna untuk menambah, memperbarui, dan menghapus input.
Kebijakan memberikan`iotevents:ListInputs`,,, `iotevents:DescribeInput` `iotevents:CreateInput``iotevents:DeleteInput`, dan `iotevents:UpdateInput` izin kepada pengguna. Untuk contoh panduan untuk Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang memberikan izin kepada pengguna dan mengujinya menggunakan konsol, [lihat Mengontrol](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) akses ke bucket dengan kebijakan pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListInputsInConsole",
"Effect":"Allow",
"Action":[
"iotevents:ListInputs"
],
"Resource":"arn:aws:iotevents:us-east-2:123456789012:input/*"
},
{
"Sid":"ViewSpecificInputInfo",
"Effect":"Allow",
"Action":[
"iotevents:DescribeInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/inputName"
},
{
"Sid":"ManageInputs",
"Effect":"Allow",
"Action":[
"iotevents:CreateInput",
"iotevents:DeleteInput",
"iotevents:DescribeInput",
"iotevents:ListInputs",
"iotevents:UpdateInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/*"
}
]
}
```
------
# Lihat AWS IoT Events input berdasarkan tag
Tag membantu Anda mengatur AWS IoT Events sumber daya. Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke AWS IoT Events sumber daya berdasarkan tag. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan melihat*input*. Namun, izin diberikan hanya jika *input* tag `Owner` memiliki nilai nama pengguna pengguna tersebut. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konsol tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListInputsInConsole",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "*"
},
{
"Sid": "ViewInputsIfOwner",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "arn:aws:iotevents:*:*:input/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat AWS IoT Events *input*, *input* harus ditandai `Owner=richard-roe` atau`owner=richard-roe`. Jika tidak, aksesnya akan ditolak. Kunci tanda syarat `Owner` cocok dengan `Owner` dan `owner` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Pencegahan deputi kebingungan lintas layanan untuk AWS IoT Events
**catatan**
AWS IoT Events Layanan ini hanya memungkinkan Anda untuk menggunakan peran untuk memulai tindakan di akun yang sama di mana sumber daya dibuat. Ini membantu mencegah serangan wakil yang membingungkan AWS IoT Events.
Halaman ini berfungsi sebagai referensi bagi Anda untuk melihat bagaimana masalah wakil yang membingungkan bekerja dan dapat dicegah jika sumber daya lintas akun diizinkan dalam AWS IoT Events layanan.
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan.
Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS IoT Events memberikan layanan lain ke sumber daya. Jika nilai `aws:SourceArn` tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global tersebut untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan. Nilai `aws:SourceArn` harus Model Detektor atau model Alarm yang terkait dengan `sts:AssumeRole` permintaan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:iotevents:*:123456789012:*`.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan AWS IoT Events untuk mencegah masalah wakil yang membingungkan.
**Topics**
+ [Contoh: Akses aman ke model AWS IoT Events detektor](accessing-a-detector-model.md)
+ [Contoh: Akses aman ke model AWS IoT Events alarm](accessing-an-alarm-model.md)
+ [Contoh: Mengakses AWS IoT Events sumber daya di wilayah tertentu](accessing-resource-in-specified-region.md)
+ [Contoh: Konfigurasikan opsi logging untuk AWS IoT Events](logging-options.md)
# Contoh: Akses aman ke model AWS IoT Events detektor
Contoh ini menunjukkan cara membuat kebijakan IAM yang secara aman memberikan akses ke model detektor tertentu di. AWS IoT Events Kebijakan menggunakan kondisi untuk memastikan bahwa hanya AWS akun dan AWS IoT Events layanan tertentu yang dapat mengambil peran tersebut, menambahkan lapisan keamanan tambahan. Dalam contoh ini, peran hanya dapat mengakses model detektor bernama*WindTurbine01*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/WindTurbine01"
}
}
}
]
}
```
------
# Contoh: Akses aman ke model AWS IoT Events alarm
Contoh ini menunjukkan cara membuat kebijakan IAM yang memungkinkan AWS IoT Events untuk mengakses model alarm dengan aman. Kebijakan menggunakan ketentuan untuk memastikan bahwa hanya AWS akun dan AWS IoT Events layanan yang ditentukan yang dapat mengambil peran tersebut.
Dalam contoh ini, peran dapat mengakses model alarm apa pun dalam AWS akun yang ditentukan, seperti yang ditunjukkan oleh `*` wildcard dalam model alarm ARN. Kondisi `aws:SourceAccount` dan `aws:SourceArn` kondisi bekerja sama untuk mencegah masalah wakil yang membingungkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
}
}
}
]
}
```
------
# Contoh: Mengakses AWS IoT Events sumber daya di wilayah tertentu
Contoh ini menunjukkan cara mengkonfigurasi peran IAM untuk mengakses AWS IoT Events sumber daya di wilayah tertentu AWS . Dengan menggunakan wilayah khusus ARNs dalam kebijakan IAM Anda, Anda dapat membatasi akses ke AWS IoT Events sumber daya di berbagai wilayah geografis. Pendekatan ini dapat membantu menjaga keamanan dan kepatuhan dalam penerapan multi-wilayah. Wilayah dalam contoh ini adalah*us-east-1*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Contoh: Konfigurasikan opsi logging untuk AWS IoT Events
Pencatatan yang tepat penting untuk memantau, men-debug, dan mengaudit aplikasi Anda AWS IoT Events . Bagian ini memberikan ikhtisar opsi pencatatan yang tersedia di AWS IoT Events.
Contoh ini menunjukkan cara mengkonfigurasi peran IAM yang memungkinkan AWS IoT Events untuk mencatat data ke CloudWatch Log. Penggunaan wildcard (`*`) di ARN sumber daya memungkinkan pencatatan komprehensif di seluruh AWS IoT Events infrastruktur Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Memecahkan masalah AWS IoT Events identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS IoT Events dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di AWS IoT Events](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses AWS IoT Events sumber daya saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di AWS IoT Events
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang *input* tetapi tidak memiliki `iotevents:ListInputs` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: iotevents:ListInputs on resource: my-example-input
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-input` menggunakan tindakan `iotevents:ListInput`.
## Saya tidak berwenang untuk melakukan `iam:PassRole`
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran AWS IoT Events.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di AWS IoT Events. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses AWS IoT Events sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Konsultasikan topik berikut untuk menentukan opsi terbaik Anda:
+ Untuk mempelajari apakah AWS IoT Events mendukung fitur-fitur ini, lihat[Bagaimana AWS IoT Events bekerja dengan IAM](security-iam.md#security_iam_service-with-iam).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Pemantauan AWS IoT Events untuk menjaga keandalan, ketersediaan, dan kinerja
Pemantauan adalah bagian penting dari menjaga keandalan, ketersediaan, dan kinerja AWS IoT Events dan AWS solusi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. Sebelum Anda mulai memantau AWS IoT Events, Anda harus membuat rencana pemantauan yang mencakup jawaban atas pertanyaan-pertanyaan berikut:
+ Apa saja sasaran pemantauan Anda?
+ Sumber daya manakah yang akan Anda pantau?
+ Seberapa seringkah Anda akan memantau sumber daya ini?
+ Apa sajakah alat pemantauan yang akan Anda gunakan?
+ Siapakah yang akan melakukan tugas pemantauan?
+ Siapa yang harus diberi tahu saat terjadi kesalahan?
Langkah selanjutnya adalah menetapkan dasar untuk AWS IoT Events kinerja normal di lingkungan Anda, dengan mengukur kinerja pada berbagai waktu dan dalam kondisi beban yang berbeda. Saat Anda memantau AWS IoT Events, simpan data pemantauan historis agar Anda dapat membandingkannya dengan data performa baru, mengidentifikasi pola performa normal dan anomali performa, dan merancang metode untuk mengatasi masalah.
Misalnya, jika Anda menggunakan Amazon EC2, Anda dapat memantau pemanfaatan CPU, diskI/O, and network utilization for your instances. When performance falls outside your established baseline, you might need to reconfigure or optimize the instance to reduce CPU utilization, improve disk I/O, atau mengurangi lalu lintas jaringan.
**Topics**
+ [Alat yang tersedia untuk memantau AWS IoT Events](monitoring_automated_manual.md)
+ [Pemantauan AWS IoT Events dengan Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Pencatatan panggilan AWS IoT Events API dengan AWS CloudTrail](iotevents-using-cloudtrail.md)
# Alat yang tersedia untuk memantau AWS IoT Events
AWS menyediakan berbagai alat yang dapat Anda gunakan untuk memantau AWS IoT Events. Anda dapat mengonfigurasi beberapa alat ini untuk melakukan pemantauan untuk Anda, sementara beberapa alat memerlukan intervensi manual. Kami menyarankan agar Anda mengautomasi tugas pemantauan sebanyak mungkin.
## Alat pemantauan otomatis
Anda dapat menggunakan alat pemantauan otomatis berikut untuk menonton AWS IoT Events dan melaporkan ketika ada sesuatu yang salah:
+ **Amazon CloudWatch Logs** — Pantau, simpan, dan akses file log Anda dari AWS CloudTrail atau sumber lain. Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) di *Panduan CloudWatch Pengguna Amazon*.
+ **AWS CloudTrail Pemantauan Log** - Bagikan file log antar akun, pantau file CloudTrail log secara real time dengan mengirimkannya ke CloudWatch Log, menulis aplikasi pemrosesan log di Java, dan validasi bahwa file log Anda tidak berubah setelah pengiriman oleh. CloudTrail Untuk informasi selengkapnya, lihat [Bekerja dengan file CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) di *Panduan AWS CloudTrail Pengguna*.
## Alat pemantauan manual
Bagian penting lainnya dari pemantauan AWS IoT Events melibatkan pemantauan secara manual item-item yang tidak tercakup oleh CloudWatch alarm. Dasbor AWS konsol AWS IoT Events CloudWatch,, dan lainnya memberikan at-a-glance tampilan status AWS lingkungan Anda. Kami menyarankan Anda juga memeriksa file log AWS IoT Events.
+ AWS IoT Events Konsol menunjukkan:
+ Model detektor
+ Detektor
+ Masukan
+ Pengaturan
+ CloudWatch Halaman beranda menunjukkan:
+ Alarm dan status saat ini
+ Grafik alarm dan sumber daya
+ Status kesehatan layanan
Selain itu, Anda dapat menggunakan CloudWatch untuk melakukan hal berikut:
+ Buat [Membuat CloudWatch dasbor](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create_dashboard.html) untuk memantau layanan yang Anda pedulikan
+ Data metrik grafik untuk memecahkan masalah dan mengungkap tren
+ Cari dan telusuri semua metrik AWS sumber daya Anda
+ Membuat dan mengedit alarm untuk menerima notifikasi terkait masalah
# Pemantauan AWS IoT Events dengan Amazon CloudWatch
Saat Anda mengembangkan atau men-debug model AWS IoT Events detektor, Anda perlu tahu apa yang AWS IoT Events sedang dilakukan, dan kesalahan apa pun yang ditemuinya. Amazon CloudWatch memantau AWS sumber daya Anda dan aplikasi yang Anda jalankan AWS secara real time. Dengan CloudWatch, Anda mendapatkan visibilitas sistem ke dalam penggunaan sumber daya, kinerja aplikasi, dan kesehatan operasional. [Aktifkan CloudWatch pencatatan Amazon saat mengembangkan model AWS IoT Events detektor](best-practices.md#best-practices-cw-logs)memiliki informasi tentang cara mengaktifkan CloudWatch logging untuk AWS IoT Events. Untuk menghasilkan log seperti yang ditunjukkan di bawah ini, Anda harus mengatur **Level verbositas** ke 'Debug' dan menyediakan satu atau beberapa **Target Debug** yang merupakan **Nama Model Detektor** dan opsional. **KeyValue**
Contoh berikut menunjukkan entri log tingkat CloudWatch DEBUG yang dihasilkan oleh AWS IoT Events.
```
{
"timestamp": "2019-03-15T15:56:29.412Z",
"level": "DEBUG",
"logMessage": "Summary of message evaluation",
"context": "MessageEvaluation",
"status": "Success",
"messageId": "SensorAggregate_2th846h",
"keyValue": "boiler_1",
"detectorModelName": "BoilerAlarmDetector",
"initialState": "high_temp_alarm",
"initialVariables": {
"high_temp_count": 1,
"high_pressure_count": 1
},
"finalState": "no_alarm",
"finalVariables": {
"high_temp_count": 0,
"high_pressure_count": 0
},
"message": "{ \"temp\": 34.9, \"pressure\": 84.5}",
"messageType": "CUSTOMER_MESSAGE",
"conditionEvaluationResults": [
{
"result": "True",
"eventName": "alarm_cleared",
"state": "high_temp_alarm",
"lifeCycle": "OnInput",
"hasTransition": true
},
{
"result": "Skipped",
"eventName": "alarm_escalated",
"state": "high_temp_alarm",
"lifeCycle": "OnInput",
"hasTransition": true,
"resultDetails": "Skipped due to transition from alarm_cleared event"
},
{
"result": "True",
"eventName": "should_recall_technician",
"state": "no_alarm",
"lifeCycle": "OnEnter",
"hasTransition": true
}
]
}
```
# Pencatatan panggilan AWS IoT Events API dengan AWS CloudTrail
AWS IoT Events terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di AWS IoT Events. CloudTrail menangkap semua panggilan API untuk AWS IoT Events sebagai peristiwa, termasuk panggilan dari AWS IoT Events konsol dan dari panggilan kode ke AWS IoT Events APIs.
Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket Amazon S3, termasuk acara untuk. AWS IoT Events Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat AWS IoT Events, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS IoT Events informasi di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas terjadi di AWS IoT Events, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Bekerja dengan riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk AWS IoT Events, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan bertindak atas data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi lebih lanjut, lihat:
+ [Membuat jejak untuk AWS akun Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [ CloudTraillayanan dan integrasi yang didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Menerima file CloudTrail log dari beberapa wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat elemen [CloudTrailUserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). AWS IoT Events tindakan didokumentasikan dalam [referensi AWS IoT Events API](https://docs.aws.amazon.com/iotevents/latest/apireference/Welcome.html).
# Memahami entri file AWS IoT Events log
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. AWS CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber mana pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga file tersebut tidak muncul dalam urutan tertentu.
Saat CloudTrail logging diaktifkan di AWS akun Anda, sebagian besar panggilan API yang dilakukan untuk AWS IoT Events tindakan dilacak dalam file CloudTrail log tempat mereka ditulis dengan catatan AWS layanan lainnya. CloudTrailmenentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.
Setiap entri log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas pengguna dalam entri log membantu Anda menentukan hal berikut:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Anda dapat menyimpan berkas log dalam bucket Amazon S3 selama yang diinginkan, tetapi Anda juga dapat menentukan aturan siklus hidup Amazon S3 untuk mengarsipkan atau menghapus berkas log secara otomatis. Secara default, berkas log Anda dienkripsi dengan menggunakan enkripsi sisi server (SSE) Amazon S3.
Untuk diberi tahu saat pengiriman file log, Anda dapat mengonfigurasi CloudTrail untuk mempublikasikan notifikasi Amazon SNS saat file log baru dikirimkan. Untuk informasi lebih lanjut, lihat [Mengonfigurasi pemberitahuan Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html).
Anda juga dapat menggabungkan file AWS IoT Events log dari beberapa AWS Wilayah dan beberapa AWS akun ke dalam satu bucket Amazon S3.
Untuk informasi selengkapnya, lihat [Menerima file CloudTrail log dari beberapa wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html).
## Contoh: DescribeDetector tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DescribeDetector` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/bertholt-brecht",
"accountId": "123456789012",
"accessKeyId": "access-key-id",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-08T18:53:58Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2019-02-08T19:02:44Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeDetector",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-cli/1.15.65 Python/3.7.1 Darwin/16.7.0 botocore/1.10.65",
"requestParameters": {
"detectorModelName": "pressureThresholdEventDetector-brecht",
"keyValue": "1"
},
"responseElements": null,
"requestID": "00f41283-ea0f-4e85-959f-bee37454627a",
"eventID": "5eb0180d-052b-49d9-a289-0eb8d08d4c27",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: CreateDetectorModel tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateDetectorModel` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-Lambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEvents-RoleForIotEvents-ABC123DEF456/IotEvents-Lambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABC123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABC123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:43Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "CreateDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel",
"key": "HIDDEN_DUE_TO_SECURITY_REASONS",
"roleArn": "arn:aws:iam::123456789012:role/events_action_execution_role"
},
"responseElements": null,
"requestID": "cecfbfa1-e452-4fa6-b86b-89a89f392b66",
"eventID": "8138d46b-50a3-4af0-9c5e-5af5ef75ea55",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: CreateInput tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateInput` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-Lambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABC123DEF456/IotEvents-Lambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABC123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABC123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:43Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "CreateInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"inputName": "batchputmessagedetectorupdated",
"inputDescription": "batchputmessagedetectorupdated"
},
"responseElements": null,
"requestID": "fb315af4-39e9-4114-94d1-89c9183394c1",
"eventID": "6d8cf67b-2a03-46e6-bbff-e113a7bded1e",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: DeleteDetectorModel tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DeleteDetectorModel` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:11Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DeleteDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel"
},
"responseElements": null,
"requestID": "149064c1-4e24-4160-a5b2-1065e63ee2e4",
"eventID": "7669db89-dcc0-4c42-904b-f24b764dd808",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: DeleteInput tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DeleteInput` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:38Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DeleteInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"errorCode": "ResourceNotFoundException",
"errorMessage": "Input of name: NoSuchInput not found",
"requestParameters": {
"inputName": "NoSuchInput"
},
"responseElements": null,
"requestID": "ce6d28ac-5baf-423d-a5c3-afd009c967e3",
"eventID": "be0ef01d-1c28-48cd-895e-c3ff3172c08e",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: DescribeDetectorModel tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DescribeDetectorModel` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AAKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:20Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel"
},
"responseElements": null,
"requestID": "18a11622-8193-49a9-85cb-1fa6d3929394",
"eventID": "1ad80ff8-3e2b-4073-ac38-9cb3385beb04",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: DescribeInput tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DescribeInput` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AAKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:56:09Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"inputName": "input_createinput"
},
"responseElements": null,
"requestID": "3af641fa-d8af-41c9-ba77-ac9c6260f8b8",
"eventID": "bc4e6cc0-55f7-45c1-b597-ec99aa14c81a",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: DescribeLoggingOptions tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DescribeLoggingOptions` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:23Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeLoggingOptions",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": null,
"responseElements": null,
"requestID": "b624b6c5-aa33-41d8-867b-025ec747ee8f",
"eventID": "9c7ce626-25c8-413a-96e7-92b823d6c850",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: ListDetectorModels tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `ListDetectorModels` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:23Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListDetectorModels",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"nextToken": "CkZEZXRlY3Rvck1vZGVsMl9saXN0ZGV0ZWN0b3Jtb2RlbHN0ZXN0X2VlOWJkZTk1YT",
"maxResults": 3
},
"responseElements": null,
"requestID": "6d70f262-da95-4bb5-94b4-c08369df75bb",
"eventID": "2d01a25c-d5c7-4233-99fe-ce1b8ec05516",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: ListDetectorModelVersions tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `ListDetectorModelVersions` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:33Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListDetectorModelVersions",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel",
"maxResults": 2
},
"responseElements": null,
"requestID": "ebecb277-6bd8-44ea-8abd-fbf40ac044ee",
"eventID": "fc6281a2-3fac-4e1e-98e0-ca6560b8b8be",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: ListDetectors tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `ListDetectors` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:54Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListDetectors",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "batchputmessagedetectorinstancecreated",
"stateName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "4783666d-1e87-42a8-85f7-22d43068af94",
"eventID": "0d2b7e9b-afe6-4aef-afd2-a0bb1e9614a9",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: ListInputs tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `ListInputs` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:57Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListInputs",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"nextToken": "CkhjYW5hcnlfdGVzdF9pbnB1dF9saXN0ZGV0ZWN0b3Jtb2RlbHN0ZXN0ZDU3OGZ",
"maxResults": 3
},
"responseElements": null,
"requestID": "dd6762a1-1f24-4e63-a986-5ea3938a03da",
"eventID": "c500f6d8-e271-4366-8f20-da4413752469",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: PutLoggingOptions tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `PutLoggingOptions` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:56:43Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "PutLoggingOptions",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"loggingOptions": {
"roleArn": "arn:aws:iam::123456789012:role/logging__logging_role",
"level": "INFO",
"enabled": false
}
},
"responseElements": null,
"requestID": "df570e50-fb19-4636-9ec0-e150a94bc52c",
"eventID": "3247f928-26aa-471e-b669-e4a9e6fbc42c",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: UpdateDetectorModel tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `UpdateDetectorModel` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:55:51Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "UpdateDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel",
"roleArn": "arn:aws:iam::123456789012:role/Events_action_execution_role"
},
"responseElements": null,
"requestID": "add29860-c1c5-4091-9917-d2ef13c356cf",
"eventID": "7baa9a14-6a52-47dc-aea0-3cace05147c3",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: UpdateInput tindakan untuk CloudTrail
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `UpdateInput` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:00Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "UpdateInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"errorCode": "ResourceNotFoundException",
"errorMessage": "Input of name: NoSuchInput not found",
"requestParameters": {
"inputName": "NoSuchInput",
"inputDescription": "this is a description of an input"
},
"responseElements": null,
"requestID": "58d5d2bb-4110-4c56-896a-ee9156009f41",
"eventID": "c2df241a-fd53-4fd0-936c-ba309e5dc62d",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Contoh: BatchPutMessage tindakan untuk CloudTrail
AWS IoT Events dapat menggunakan CloudTrail integrasi untuk pencatatan API bidang data. Contoh ini menambahkan detail tentang peristiwa data melalui `BatchPutMessage` tindakan.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:PrincipalId",
"arn": "arn:aws:sts::123456789012:assumed-role/my-iam-role/my-iam-role-entity",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/my-iam-role",
"accountId": "123456789012",
"userName": "sample_user_name"
},
"attributes": {
"creationDate": "2024-11-22T18:32:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-11-22T18:57:35Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "BatchPutMessage",
"awsRegion": "us-east-1",
"sourceIPAddress": "3.239.107.128",
"userAgent": "aws-internal/3",
"requestParameters": {
"messages": [
{
"messageId": "e306d827-b2e4-4439-9c86-411d4242a397",
"payload": "HIDDEN_DUE_TO_SECURITY_REASONS",
"inputName": "my_input_name"
}
]
},
"responseElements": {
"batchPutMessageErrorEntries": []
},
"requestID": "cefc6b63-9ccf-4e31-9177-4aec8e701bfe",
"eventID": "b994b52c-6011-4e3c-ad5f-e784e732fde0",
"readOnly": false,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::IoTEvents::Input",
"ARN": "arn:aws:iotevents:us-east-1:123456789012:input/my_input_name"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "iotevents.us-east-1.amazonaws.com"
}
},
```
# Validasi kepatuhan untuk AWS IoT Events
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di AWS IoT Events
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terhubung dengan jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [infrastruktur AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di AWS IoT Events
Sebagai layanan terkelola, AWS IoT Events dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS IoT Events melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.